Перед «МультиКарта» стояла задача о приведении процессингового центра в полное соответствие с требованиями PCI DSS 2.0, для реализации которой было принято решение о привлечении внешнего консультанта. В этом качестве выступил интегратор «Инфосистемы Джет», который является сертифицированным аудитором (статусы Approved Scanning Vendors (ASV) и Qualified Security Assessor (QSA)), что позволяет осуществлять подготовку и проведение аудитов организаций, оперирующих с данными платежных карт, на соответствие требованиям PCI DSS.
«С компанией "Инфосистемы Джет" мы сотрудничаем с 2008 года, когда в связи с ростом бизнеса нам потребовалась модернизация сетевой и серверной инфраструктуры, ─ комментирует Михаил Федоров, директор по информационной безопасности компании "МультиКарта". ─ Компания досконально знала особенности нашей инфраструктуры, владела спецификой нашего бизнеса и, кроме того, вела работы по направлению PCI DSS в ряде российских банков и процессинговых компаний. Это стало определяющим фактором при выборе подрядчика».
От исполнителя проекта требовалось понимание сложности ИТ-инфраструктуры компании «МультиКарта», включающей более 60 серверов, расположенных на двух площадках в г. Москве и г. Санкт-Петербурге. Кроме того, необходимо было учитывать строгие ограничения, связанные с обеспечением непрерывности бизнеса, а также параллельно проводимые работы по внедрению и миграции на новую процессинговую систему.
Проект состоял из нескольких этапов. На первом этапе специалисты компании «Инфосистемы Джет» провели комплексное обследование архитектуры и взаимодействия всех системных компонентов, входящих в состав процессинговой системы. Были определены границы области действия стандарта и разработан подробный план приведения в соответствие с требованиями стандарта. При этом план разрабатывался как для действующей, так и для новой процессинговой системы в соответствии с планом миграции.
Наиболее трудоемкий – второй этап проекта, связанный с непосредственным внедрением соответствующих мер обеспечения безопасности (процедур и технических средств). Одновременно с проводимыми специалистами компании «Инфосистемы Джет» работами компания «МультиКарта» внедряла новую процессинговую систему, расширяла спектр услуг и подключала новые банки. Это требовало от интегратора непрерывного анализа ситуации и оперативного внесения корректировок в реализуемые решения. Выполнение части требований стандарта взяла на себя компания «МультиКарта». В частности, специалисты компании вносили изменения в конфигурации функционирующих систем, дорабатывали внутренние регламенты и процедуры.
Третий этап проекта – проведение аудита на соответствие требованиям стандарта PCI DSS. Отдельная команда аудиторов компании «Инфосистемы Джет» провела процедуру сертификационного аудита. Проводилась проверка систем, осуществляющих обработку и хранение данных платежных карт, регламентирующих документов и процедур, конфигураций используемых средств защиты. По результатам составлено заключение о полном соответствии процессингового центра «МультиКарта» требованиям PCI DSS.
Результаты проведенного аудита были приняты международными платежными системами. Компания «МультиКарта» получила сертификат соответствия требованиям стандарта PCI DSS 2.0.
«Мы всегда стремимся обеспечивать высокий уровень оказываемых услуг и предпринимаем шаги по их совершенствованию и поддержке. Выполнение требований PCI DSS свидетельствует о безопасности карточных данных наших клиентов и высоком уровне обеспечения информационной безопасности в нашей компании в целом», – подчеркивает Михаил Федоров.